SAP, Regulierung & die unbequemen Wahrheiten: Wer trägt die Verantwortung?

LGR Reutlingen – 28 Mai 2026 | In der heutigen digitalen Welt sind SAP-Systeme das Rückgrat vieler Unternehmen. Sie verwalten Milliarden von Unternehmensdaten, Finanzströme und Lieferketten. Doch während in den Vorstandsetagen oft ein zustimmendes Nicken bei dem Thema „SAP-Sicherheit“ zu beobachten ist, denken viele: „Das ist doch das Thema für die Nerds im Keller.“ Diese Wahrnehmung ist jedoch gefährlich, denn die Sicherheit von SAP-Systemen ist alles andere als ein Kellerthema – sie ist eine Zeitbombe.

In einem aktuellen Podcast mit Andreas Kirchebner, Security Delivery Senior Manager bei Accenture, wird deutlich, dass trotz bestehender Regulierung, Frameworks und Audits eine kritische Lücke klafft. Diese Lücke zu erkennen und zu schließen, bedeutet Verantwortung zu übernehmen – eine Verantwortung, die viele Führungskräfte scheuen. Der Podcast thematisiert die unbequemen Wahrheiten im Zusammenhang mit SAP-Sicherheit und Regulierung.

Was passiert, wenn ein Audit grünes Licht gibt, und nur wenige Monate später ein Angreifer tief im System sitzt? Wer wird dafür zur Rechenschaft gezogen? Der Vorstand? Der Aufsichtsrat? Die Kunden? Die Antwort ist oft: Niemand. Das ISMS-Framework endet dort, wo das tatsächliche Risiko beginnt – und genau das ist das Problem.

Die Hoffnung, dass künstliche Intelligenz die Lücken schließen kann, könnte sich als trügerisch herausstellen. Ist die Implementierung von KI tatsächlich eine Lösung oder nur ein teures Pflaster auf ein strukturelles Problem, das seit Jahren ignoriert wird? Der Podcast gibt keine beruhigenden Antworten, sondern stellt die zentrale Frage: Wer trägt die Verantwortung für SAP-Sicherheit und warum drücken sich viele davor?

SAP-Sicherheit als Karrierefrage

Ein zentraler Punkt in der Diskussion ist der CISO (Chief Information Security Officer). Er ist die Person, die die Realität in den technischen Abteilungen kennt und die oft überfälligen Investitionen in Sicherheit aufzeigt. Doch wenn der CFO den Raum betritt, wird das Thema Sicherheit schnell zum ungeliebten Kind. Sicherheitsinvestitionen werden nicht als Umsatztreiber wahrgenommen, sondern als unangenehme Ausgaben, die vermieden werden sollen.

So entsteht eine Sandwich-Situation für den CISO: Oben drängt die Geschäftsführung auf positive Nachrichten und Budgetdisziplin, während unten technische Teams auf Entscheidungen warten, die nie getroffen werden. Wer hier nicht einknickt, macht sich unbeliebt oder riskiert sogar seinen Job. Das Resultat ist oft ein organisiertes Wegsehen – man weiß um die Risiken, schweigt jedoch aus Angst vor Konsequenzen.

„Sicherheit ist unsichtbar, solange nichts passiert“, so Kirchebner. Das ist der Kern des Problems: Es geht nicht darum, ob etwas passiert, sondern wann. Ein gezielter Angriff auf ein SAP-System, eine empfindliche Geldstrafe durch NIS2 oder DSGVO, ein öffentliches Datenleck – erst dann wird das Budget für Sicherheitsinvestitionen plötzlich bereitgestellt, oft ohne große Diskussion.

Verantwortung und Regulierung

Die Fragen, die sich in diesem Kontext stellen, sind vielfältig. Wer ist tatsächlich verantwortlich für die Sicherheit von SAP-Systemen? Wie gehen Unternehmen mit den regulatorischen Anforderungen um? Und sind Audits wirklich ein Sicherheitsnetz oder lediglich eine trügerische Beruhigung? Die Antworten sind oft ernüchternd.

Die Ursachen für die bestehenden Sicherheitslücken sind vielschichtig. Sie reichen von technischen Defiziten über organisatorische Herausforderungen bis hin zu einer gewissen Verantwortungslosigkeit. Unternehmen müssen sich fragen, ob sie die richtigen Experten an Bord haben, um die komplexen Sicherheitsanforderungen zu bewältigen oder ob sie sich lediglich auf das nächste Buzzword wie KI verlassen, um ihre Probleme zu lösen.

Die Realität zeigt, dass viele Unternehmen nicht in der Lage sind, die Expertise zu finden, die sie benötigen. Das führt dazu, dass sie sich auf Berater verlassen, die möglicherweise nicht über die notwendige tiefgreifende Sicherheitsperspektive verfügen. Die Gefahr, dass sie von Dienstleistern mit bunten Folien und wenig Substanz überzeugt werden, ist hoch.

Die Diskussion um SAP, Regulierung und die unbequemen Wahrheiten ist also nicht nur eine Frage der Technik, sondern auch eine der Verantwortung auf oberster Ebene. Unternehmen müssen lernen, dass Sicherheit kein optionales Thema ist, sondern eine fundamentale Voraussetzung für ihren langfristigen Erfolg.

Die Zeit zum Handeln ist gekommen. Unternehmen sollten nicht warten, bis sie Opfer eines Angriffs werden oder eine teure Strafe zahlen müssen, um zu erkennen, dass die Sicherheit ihrer Systeme an erster Stelle stehen muss. Nur so können sie die Herausforderungen der digitalen Zukunft meistern und die unbequemen Wahrheiten rund um SAP-Sicherheit und Regulierung in den Griff bekommen.